Logging - Du må vite hva som skjer og hva som har skjedd
Etablering og analyse av logger er en forutsetning for effektiv håndtering av hendelser.
av Bente Hoff
Norske virksomheter må forholde seg til et vidt spekter av trusler i det digitale rom. Skade kan påføres IKT-systemene både som følge av utilsiktede handlinger som feil og uhell, men også av tilsiktede handlinger som spionasje og sabotasje. For å beskytte mot trusler av alle typer er det kritisk at virksomhetene kan oppdage og håndtere en hendelse. Etablering og analyse av logger er en forutsetning for effektiv håndtering av hendelser.
Logger kan bidra til at IKT-hendelser oppdages tidlig og at alvorlige konsekvenser reduseres eller forhindres. Manglende eller feilaktig konfigurering av logger kan føre til at angripere uoppdaget kan skjule sin tilstedeværelse i virksomhetens IKT-systemer. Logger er også et redskap for å kartlegge skadeomfanget av en hendelse og til å danne grunnlag for eventuelle rettslige forfølgelser.
Det er viktig å merke seg at lagring av loggdata ikke gir gevinst i seg selv. For at logger skal ha en effekt må alarmer håndteres og logger må jevnlig gjennomgås av kompetente analytikere. Ikke bare må analytikere ha god teknisk innsikt. For å kunne avgjøre om uønsket aktivitet foregår må virksomheten kjenne sin egen normaltilstand slik at avvik kan oppdages.
NSM anbefaler at det legges en strategi for logging og at det fastsettes hvor lenge logger skal oppbevares. Detaljeringsgraden må styres av beskyttelsesbehovet. Noe logging er en del av grunninnstillingene for hard- eller mykvarekomponenten mens annen logging må konfigureres. Virksomheten bør ha et aktivt forhold til hva og hvor mye som skal logges og sikre at personvernhensyn ivaretas. Virksomheten må også ha et bevisst forhold til hvordan loggene skal arkiveres, beskyttes og slettes. Det er viktig å verifisere at loggingen beskyttes mot manipulering.
Sentrale anbefalinger
- Systemkomponenter må logge sikkerhetsrelevante hendelser
- Systemet må ha funksjonalitet for arkivering og sammenstilling av logger
- Organisasjonen må ha kompetanse til å konfigurere logging og tune logghåndteringsverktøy på en hensiktsmessig måte.
- Prosesser og rutiner må etableres for gjennomgang av logger og håndtering av hendelser.
- Organisasjonen må ha ressurser til å ivareta etablerte prosesser og rutiner.
Tiltak for hensiktsmessig logging og logganalyse er beskrevet i NSMs Grunnprinsipper for IKT-sikkerhet. Nasjonal sikkerhetsmyndighet har også laget en ny veileder som gir anbefalinger om minimumsnivå for logging.